Аналитики департамента киберразведки компании F6 зафиксировали новую активность известной хакерской группировки Core Werewolf, специализирующейся на атаках против российских и белорусских военных и оборонных объектов. Целями атак также остаются организации, обслуживающие критически важную инфраструктуру.
Группа, действующая с августа 2021 года, продолжает использовать проверенные инструменты — UltraVNC и MeshCentral, которые обеспечивают удалённый доступ к скомпрометированным системам.
Очередной инцидент был зафиксирован 2 мая 2025 года, когда в одну из публичных песочниц был загружен файл формата .eml. Электронное письмо датировано 29 апреля и отправлено с адреса al.gursckj@mail[.]ru. Во вложении находился защищённый паролем архив с названием «Списки_на_нагр.7z», содержащий PDF-документ-приманку.
Специалисты F6 быстро идентифицировали характерные признаки, подтверждающие принадлежность атаки к Core Werewolf: используемые техники, формат вложений и почтовая активность соответствовали их ранее зафиксированным кампаниям.
Внутри архива находился исполняемый файл с характерным канцелярским названием: «Списки на уточнение вс представляемых к награждению гос награды.exe». Этот файл оказался дроппером — при запуске он распаковывал временные файлы и открывал PDF-документ с аналогичным названием, чтобы замаскировать вредоносную активность и не вызвать подозрений у пользователя.
Параллельно в фоновом режиме запускался CMD-скрипт, который инициировал вредоносную цепочку. Сначала активировался crawl.cmd, извлекавший содержимое из скрытого архива и передававший управление скрипту kingdom.bat. Последний создавал конфигурационный файл для UltraVNC — ultravnc.ini — в котором уже были заранее прописаны параметры: установлен пароль, разрешён обмен файлами, включён удалённый доступ и отключено подтверждение подключения.
Затем запускался mosque.bat, который завершал любые активные процессы UltraVNC, проверял доступность командного сервера по адресу stroikom-vl[.]ru и запускал VNC-клиент, маскируя его под процесс Sysgry.exe.
Использование «наградных списков» в качестве приманки — приём не новый: ранее Core Werewolf уже применяла подобные методы, маскируя вредоносные документы под официальные военные отчёты, списки объектов и другую псевдодокументацию.
Группа, действующая с августа 2021 года, продолжает использовать проверенные инструменты — UltraVNC и MeshCentral, которые обеспечивают удалённый доступ к скомпрометированным системам.
Очередной инцидент был зафиксирован 2 мая 2025 года, когда в одну из публичных песочниц был загружен файл формата .eml. Электронное письмо датировано 29 апреля и отправлено с адреса al.gursckj@mail[.]ru. Во вложении находился защищённый паролем архив с названием «Списки_на_нагр.7z», содержащий PDF-документ-приманку.
Специалисты F6 быстро идентифицировали характерные признаки, подтверждающие принадлежность атаки к Core Werewolf: используемые техники, формат вложений и почтовая активность соответствовали их ранее зафиксированным кампаниям.
Внутри архива находился исполняемый файл с характерным канцелярским названием: «Списки на уточнение вс представляемых к награждению гос награды.exe». Этот файл оказался дроппером — при запуске он распаковывал временные файлы и открывал PDF-документ с аналогичным названием, чтобы замаскировать вредоносную активность и не вызвать подозрений у пользователя.
Параллельно в фоновом режиме запускался CMD-скрипт, который инициировал вредоносную цепочку. Сначала активировался crawl.cmd, извлекавший содержимое из скрытого архива и передававший управление скрипту kingdom.bat. Последний создавал конфигурационный файл для UltraVNC — ultravnc.ini — в котором уже были заранее прописаны параметры: установлен пароль, разрешён обмен файлами, включён удалённый доступ и отключено подтверждение подключения.
Затем запускался mosque.bat, который завершал любые активные процессы UltraVNC, проверял доступность командного сервера по адресу stroikom-vl[.]ru и запускал VNC-клиент, маскируя его под процесс Sysgry.exe.
Использование «наградных списков» в качестве приманки — приём не новый: ранее Core Werewolf уже применяла подобные методы, маскируя вредоносные документы под официальные военные отчёты, списки объектов и другую псевдодокументацию.
